蓋 玲

(江漢大學 武漢 430056)

基于云計算的安全服務研究

蓋 玲

(江漢大學 武漢 430056)

互聯(lián)網(wǎng)應用的迅猛發(fā)展豐富和方便了人們的生產(chǎn)生活，亦為入侵者提供了大量的機會。不斷變化和演進的攻擊手段，使得傳統(tǒng)的企業(yè)安全防護體系面臨著前所未有的嚴峻挑戰(zhàn)。隨著云計算在各個領(lǐng)域的成功落地，基于云計算的安全服務已經(jīng)從概念階段過渡到了完善和推廣階段。云安全服務可以很好地解決諸多安全威脅和挑戰(zhàn)，并在包括運營商的很多領(lǐng)域得到廣泛的應用。

云計算；云安全服務；SLA

1 “云”將成為主流

IDC公司的一次市場調(diào)查顯示，現(xiàn)階段約11%的被調(diào)查企業(yè)已經(jīng)采用了商業(yè)化云方案，諸如云計算平臺或云服務，同時約41%正在對云方案進行評估或試用。云計算被廣泛應用于企業(yè)運營管理、數(shù)據(jù)存儲以及日常桌面辦公等諸多方面，類似于Saleforce以及Google App等基于云的應用正在逐漸取代傳統(tǒng)的應用模式，融入到人們實際的生活和工作中。

人們在云計算“元年”之后盤算著今后若干年云計算該如何蓬勃發(fā)展的同時，基于云計算的安全服務（cloudbased security service）逐漸浮出水面，越來越多的企業(yè)用戶成為服務的受益者。云安全服務的提供商，最初主要是一些專業(yè)的安全廠商。近兩年，提供公眾服務的電信運營商也從關(guān)注到采納，依托強大的電信網(wǎng)絡資源和營銷優(yōu)勢，推出了面向企業(yè)用戶的一系列基于云計算的安全增值業(yè)務。

2 入侵者的攻擊與安全防護

2.1 攻擊的發(fā)展和演變

隨著互聯(lián)網(wǎng)應用的迅猛發(fā)展，基于Web的應用變得異常豐富?！癏TTP is the next TCP”突出地表現(xiàn)為用戶對瀏覽器的依賴達到了不可割舍的程度。越來越多的應用系統(tǒng)從C/S架構(gòu)遷移到B/S架構(gòu)，在線辦公、線上游戲、網(wǎng)上交易以及即時通信成為趨勢。互聯(lián)網(wǎng)提供了前所未有和無以倫比的便利，并最終緊密地融入到人們的日常生產(chǎn)生活之中。積累了巨大財富的互聯(lián)網(wǎng)最終造就了越來越多的互聯(lián)網(wǎng)富翁，其中也包括入侵者。

入侵者的財富始終伴隨著互聯(lián)網(wǎng)用戶的不斷增加和互聯(lián)網(wǎng)應用的不斷發(fā)展而與日俱增。豐富的互聯(lián)網(wǎng)應用客觀上為入侵者提供了充分施展拳腳的廣闊空間，攻擊手段不斷變化和演進。首先，攻擊的目的越來越向應用破壞和信息竊取演變，無論是提供網(wǎng)站服務的服務器端資源還是作為訪問者一方的用戶端資源，都有可能成為入侵者攻擊的目標；其次，攻擊方式也變得越發(fā)復雜和五花八門，如利用Web網(wǎng)站和互聯(lián)網(wǎng)應用軟件（如IM等）進行網(wǎng)站掛馬、網(wǎng)絡釣魚以及散布流氓軟件等；最后，新的安全威脅和攻擊手段越來越多，攻擊的目標越來越廣泛（從傳統(tǒng)的互聯(lián)網(wǎng)資源到工業(yè)目標），攻擊傳播和擴散的速度也越來越快。以APT攻擊為例，持續(xù)和復雜的攻擊不能不說在一定程度上打擊了防護者的信心，不管采用多么嚴密的防護，在零日攻擊面前，都毫無懸念地敗下陣來。安全威脅的發(fā)展和演進帶給最終用戶前所未有的不安。

2.2 防護的挑戰(zhàn)

面對不斷變化的攻擊手段，安全防護也在不斷地變革和演進。從功能相對單一的防火墻到多層次多功能的UTM設(shè)備，再到專門用于Web防護的WAF產(chǎn)品；從單純提供流量監(jiān)控的IDS系統(tǒng)到兼具監(jiān)控和控制的IPS系統(tǒng)；從基于Flow的流量監(jiān)測到基于數(shù)據(jù)包深度分析的DPI系統(tǒng)，安全產(chǎn)品的不斷推陳出新以及針對不同場景和應用的細分，為防護者提供了豐富多樣的部署選擇。

因此，攻防正日益演變?yōu)橐粓鰵埧岬拿鎸γ娌┺?。遺憾的是，在很多情況下，入侵者和防護者對抗的勝者往往是前者。

首先，互聯(lián)網(wǎng)大潮下商業(yè)模式的不斷變化，使得企業(yè)越來越開放、邊界越來越模糊，傳統(tǒng)靜態(tài)的邊界防護模式面對不斷變化的威脅時顯得捉襟見肘。對于一個企業(yè)來說，很難說其系統(tǒng)邊界在哪里，特別是采用了諸如云存儲等新興互聯(lián)網(wǎng)商業(yè)模式的業(yè)務，由此帶來應該在哪里部署以及部署什么樣的安全策略等問題。防護面相對于攻擊點來說，其廣闊程度不可同日而語，無疑提高了防護的難度。

其次，不能不承認很多入侵者具備了專業(yè)的技能和職業(yè)的精神。不管原動力是對經(jīng)濟利益的追逐，還是對“翻墻”感受的渴望（前者的成分往往大于后者），單純從攻防技能角度上講，在很多成功入侵的案例中，攻擊的一方具有比較明顯的技術(shù)優(yōu)勢。除了技術(shù)因素之外，還有更深層面的人的意識問題。一個企業(yè)是否具有專業(yè)或?qū)Ｂ毜陌踩芾砣藛T，以及管理人員自身是否具有充分的安全意識，都是決定企業(yè)能否有效防御攻擊的重要甚至決定性因素。

最后，部署在企業(yè)用戶現(xiàn)場的安全防護產(chǎn)品、設(shè)備的更新和升級能否跟上攻擊者攻擊手段變化的步伐是一個巨大的問號。現(xiàn)階段防護產(chǎn)品仍然普遍依賴于傳統(tǒng)的樣本采集、分析、特征碼生成和分發(fā)機制。惡意代碼樣本數(shù)量的爆發(fā)式增長，直接導致傳統(tǒng)上依賴于特征庫/簽名的防護體系不堪重負。基于特征和簽名識別的靜態(tài)檢測方式已經(jīng)遠遠不能對現(xiàn)階段迅速發(fā)展和變化的攻擊手段進行有效防護。此外，如果防護設(shè)備對流經(jīng)的每個數(shù)據(jù)包都進行深層次的掃描，很可能由于自身處理性能的瓶頸而最先掛掉。以廣泛部署在企業(yè)邊界的UTM設(shè)備為例，特征庫的更新是否及時直接影響設(shè)備的防護效果。此外，可以想象，開啟全部安全防護策略對于UTM設(shè)備本身就是一個噩夢。

由此可見，新業(yè)務的選擇和開展、人員的安全素質(zhì)以及設(shè)備的防護能力都是影響甚至制約企業(yè)能否有效防護安全威脅的重要因素。那么，如何才能規(guī)避或者緩解因業(yè)務、人員和設(shè)備對防護造成的不利影響，或者更直接地說，有什么方法可能幫助企業(yè)更好地應對不斷變化和快速發(fā)展的攻擊手段呢？至少有一點是明確的，防護手段必須跟上攻擊手段的不斷發(fā)展和變化，做到敵變我變，與時俱進，“以不變應萬變”的靜態(tài)防護思路已經(jīng)不能滿足現(xiàn)階段安全防護的要求。

2.3 防護的演進

正像云計算不是偶然，而是人類文明在計算發(fā)展過程中，與互聯(lián)網(wǎng)技術(shù)相結(jié)合步入一個嶄新而必經(jīng)的階段一樣，基于云計算的安全解決方案同樣是互聯(lián)網(wǎng)應用、安全威脅與安全防護3方面因素不斷發(fā)展、不斷演進和相互作用的必然結(jié)果。

什么是云安全？從類別上講，可以分為云自身的安全（security in cloud）和以云的方式提供的安全防護手段（security from cloud）。云自身的安全不是本文的重點，以云的方式提供安全防護手段，換句話說，即向客戶提供基于云計算的安全服務，把云計算的理念應用到安全的規(guī)劃、建設(shè)和交付中去。眾所周知，云計算最大的優(yōu)勢在于最大程度地將處于不同物理位置的各種資源邏輯地連接在一起，形成統(tǒng)一的資源/信息池，分布式計算、資源共享和動態(tài)伸縮性是云計算最主要的3個特點。從交付的方式上來講，與其他云計算類似，很大程度上是以計量服務的方式提供給最終用戶。

專業(yè)的云安全服務較傳統(tǒng)的企業(yè)自身防護具有以下優(yōu)勢。

首先，云安全體系看起來更像是一個保持穩(wěn)定和自我循環(huán)狀態(tài)、進行新陳代謝的生態(tài)系統(tǒng)，體系中的很多安全防護策略都是自動化和不斷更新的，較傳統(tǒng)體系來說，防護策略的更新不再是以季度、月或周來進行，而是隨時隨地完成。這就從根本上扭轉(zhuǎn)了“攻快守慢”的問題。

其次，對于企業(yè)負責安全管理的人員來說，他所需要做的就是保證部署在企業(yè)中的安全防護設(shè)備與云安全中心之間的網(wǎng)絡連通性，或者干脆把全部的網(wǎng)絡流量重定向到云安全中心，依托部署在中心的安全設(shè)備對流量進行全面檢查和過濾。對于一些特定的應用，如企業(yè)門戶/辦公網(wǎng)站，企業(yè)的安全管理員可以通過簡單的鼠標操作，購買提供商提供的遠程掃描服務，對其門戶網(wǎng)站進行隨時評估。

最后，企業(yè)的防護始終是一個點，而在云安全體系中，安全設(shè)備不再是一個相對獨立的“安全孤島”，而是一個個處于完整的安全監(jiān)控和防護體系之下的傳感器和安全閘門，分布于不同地域的安全終端節(jié)點，既是安全防護策略的執(zhí)行者，也擔當了對最新攻擊行為的采集和反饋工作。及時采集未知的安全攻擊行為和惡意代碼，通過安全專家的分析和研究，將研究成果以更新檢測和防護策略的形式下發(fā)到終端節(jié)點。與此同時，安全防護策略的調(diào)度在云平臺下也更為智能與合理。

3 云安全服務的機遇與風險

3.1 機遇

拋開單純的防護能力優(yōu)勢，云安全服務在交付上還有很多吸引人的地方，吸引企業(yè)用戶訂購的3個主要的非技術(shù)層面的原因是：快速、簡單和便宜。其中，省錢是吸引企業(yè)用戶的首要因素。根據(jù)IDC的調(diào)查，超過50%的云計算客戶選擇“云”，是因為“云”相對于傳統(tǒng)部署更便宜。用戶不用購買太多的軟硬件設(shè)備就可以實現(xiàn)相應的業(yè)務防護需求。其次，省事是打動客戶的一個關(guān)鍵因素。與繁瑣的設(shè)備上架、軟件配置、設(shè)備升級、維護和擴容相比，云安全服務往往只需要企業(yè)安全管理員點擊幾下鼠標就可以完成部署。最后，省時不僅僅體現(xiàn)在快速部署即獲得充分和全面的安全防護上，及時發(fā)現(xiàn)系統(tǒng)安全隱患并在入侵者利用之前堵上漏洞更是極大降低了事后恢復的時間成本。

對于提供商來說，提供云安全服務的收益和價值體現(xiàn)為3方面。第一，由于云安全服務往往是基于互聯(lián)網(wǎng)的，因此可以非常便捷地接觸到客戶，特別是新客戶。在云安全服務的框架下，原則上是不區(qū)分網(wǎng)內(nèi)與網(wǎng)外客戶的。換句話說，A服務提供商完全可以通過云安全服務將B的客戶納入其安全業(yè)務覆蓋范圍內(nèi)。這對于電信運營商尤為具有吸引力。第二，降低業(yè)務交付過程中的開銷?；诨ヂ?lián)網(wǎng)的云安全服務的交付成本是很低的，互聯(lián)網(wǎng)可達的地方就是可交付的所在。第三，依托差異化服務尋求更多的利潤增長點。云安全服務是依托互聯(lián)網(wǎng)開展的增值數(shù)據(jù)業(yè)務，在“一切依托互聯(lián)網(wǎng)”的趨勢下，為已投入大量資金用于自身安全建設(shè)的企業(yè)，提供了將安全變支撐為盈利的新思路和難得的機遇。

3.2 顧慮與風險

任何事物都有好的方面和存在風險的另一個方面，云安全服務亦然。IDC的資料表明，成本和價格因素并不足以影響用戶最終通過采購云安全服務的決策。如何安全地獲取云安全服務以及保證來自“云”的安全能夠滿足其全部的防護要求，同樣是用戶在決策過程中非常關(guān)注的方面。

打消用戶在獲取服務過程中有可能造成數(shù)據(jù)泄露的顧慮，可以依托VPN實現(xiàn)用戶到服務中心間的數(shù)據(jù)交互。用戶的安全管理人員對服務中心的所有訪問都是通過加密隧道完成的，可以保證訪問過程中數(shù)據(jù)的保密性。而對于最終用戶和服務提供商都關(guān)心的SLA問題，Gartner給出的建議是服務提供商在選擇云安全廠商的時候就要對這個潛在的合作伙伴進行必要的評估，好的合作伙伴和安全產(chǎn)品/技術(shù)是業(yè)務成功最基本的條件。

云安全服務提供商需要考慮兩個非?，F(xiàn)實的問題。一是如何與客戶簽訂適當而合理的SLA協(xié)議，這與客戶的擔心類似，提供商往往與第三方安全廠商合作推出云安全服務，提供的是一個運營平臺而并不是安全防護技術(shù)和設(shè)備，防護效果和設(shè)備穩(wěn)定性都是運營商需要面對的風險；二是如何規(guī)避前向收費價格戰(zhàn)，這不僅僅是商業(yè)模式的問題，無論采用哪一種收費模式 （pay per use或 pay per month），都存在前向收益的挑戰(zhàn)—用戶更傾向于價格便宜的服務。如何說服用戶購買一個更好而不是更便宜的服務，是服務提供商必須仔細思考的。

對于如何在日益殘酷的競爭中處于主動和領(lǐng)先地位，IDC和Gartner給出了相同的回答——云安全服務不是一個單純的服務項目，而是一整套解決方案。無論是在用戶的客戶端部署終端設(shè)備，還是把用戶流量定向到云安全中心，或者通過跨互聯(lián)網(wǎng)遠程掃描的方式進行脆弱性核查，相應的專家咨詢、系統(tǒng)加固、現(xiàn)場取證以及事件追查都可以作為供企業(yè)選擇的配套服務選項。

4 國外開展情況及前景

從國外的云安全開展案例來看，運營商由于其網(wǎng)絡和渠道優(yōu)勢，毫無疑問地走在業(yè)界的最前面。運營商開展云安全增值服務不是偶然，互聯(lián)網(wǎng)的蓬勃發(fā)展，加速了運營商從單一的“管道”提供商向綜合服務提供商轉(zhuǎn)變的進程，與互聯(lián)網(wǎng)結(jié)合的數(shù)據(jù)業(yè)務成為運營商的核心業(yè)務和最主要的利潤增長點。在云計算方面，國外運營商在幾年前就以增值服務的方式推出了基于云的存儲和企業(yè)管理 （如CRM）服務。云安全服務作為云計算的一種獨特業(yè)務很早就得到了運營商的關(guān)注。

事實上，國外運營商以云安全服務的方式提供安全增值業(yè)務，似乎不比其他云計算服務晚多少，早在2007年就開始嘗試采用“云”的方式為其用戶提供安全保護服務。例如AT&T公司，從2007年開始與ScanSafe公司合作，推出基于SaaS模式的云安全服務。采用AT&T云安全服務的企業(yè)，其上網(wǎng)流量被重定向到部署在數(shù)據(jù)中心的ScanSafe平臺上。平臺系統(tǒng)對用戶的上網(wǎng)流量進行檢查，保證用戶訪問的網(wǎng)站和諸如電子郵件等的應用是安全的。2010年，NTT Com采用與AT&T完全不同的服務內(nèi)容和模式，推出商務安全漏洞管理（biz security vulnerability management），向其企業(yè)用戶提供遠程脆弱性（漏洞）評估的服務。

正像前文中所闡述的，云安全服務提供商在其商業(yè)運營中遇到這樣或那樣的問題。其核心的問題在于客戶信息保護、收費以及云安全服務的交付效果上。一方面，和其他數(shù)據(jù)業(yè)務一樣，“越便宜越好”的邏輯并不完全適用云安全業(yè)務，一個豐富而完整的云安全解決方案無論對于服務提供者還是使用者都是收益的最大保證；另一方面，云安全服務是大勢所趨，雖然當前技術(shù)和市場上仍存在不少問題和挑戰(zhàn)，但是前途仍舊是光明的。

1 石屹嶸等.云計算在電信IT領(lǐng)域的應用探討.電信科學，2009，25（9）

2 張敏，陳云海，林立宇.電信運營商云計算數(shù)據(jù)中心的構(gòu)建分析.電信技術(shù)，2009（6）

3 鐘偉彬，周梁月，潘軍彪等.云計算終端的現(xiàn)狀和發(fā)展趨勢.電信科學，2010，26（3）

4 何明，鄭翔，賴海光等.云計算技術(shù)發(fā)展及應用探討.電信科學，2010，26（5）

5 段勇，朱源.IDC基礎(chǔ)設(shè)施云的安全策略研究.電信科學，2010，26（6）

6 朱源，聞劍峰.云計算安全淺析.電信科學，2010，26（6）

7 汪來富，沈軍，金華敏.云計算應用安全研究.電信科學，2010，26（6）

8 于明，胡前笑.云計算技術(shù)與業(yè)務發(fā)展策略分析.電信技術(shù)，2009（10）

9 張云勇，陳清金，潘松柏等.云計算安全關(guān)鍵技術(shù)分析.電信科學，2010，26（9）

10 林果園，賀珊.一種云計算環(huán)境下的安全模型.電信科學，2010，26（9）

11 琚潔慧，吳吉義，章劍林等.SaaS應用中的多租戶與安全技術(shù)研究.電信科學，2010，26（10）

12 程瑩，張云勇，徐雷等.基于Hadoop及關(guān)系型數(shù)據(jù)庫的海量數(shù)據(jù)分析研究.電信科學，2010，26（11）

Research Based on Security Services of Cloud Computing

Gai Ling
（Jianghan University，Wuhan 430065，China）

The rapid development of Internet applications facilitates people’s work and life,as well as provides a broad space for invaders.Constantly changing and evolving methods of attack,which make the traditional enterprise security system facing unprecedented challenges.As cloud computing’s success in landing areas,cloud-based security services has moved from concept stage to the improvement and extension phase.Cloud security services can solve many security threats and challenges,including the telecom operators in many fields within a wide range of applications.

cloud computing,cloud-based security service,SLA

2011-04-13）